上证报中国证券网讯（记者常佩琦韩宋辉）上海证券报记者12月27日获悉，金融监管总局近日印发《银行保险机构数据安全管理办法》（下称《办法》），落实数据安全责任制，将数据安全风险纳入全面风险管理体系，进一步规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用。

　　金融监管总局有关司局负责人表示，近年来金融领域面临的数据安全风险形势复杂严峻，也给金融机构数据安全管理带来新的挑战，有必要充分发挥监管的“指挥棒”作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部机制，采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。

　　首先，落实数据安全责任制。《办法》明确银行保险机构党委（党组）、董（理）事会对本单位数据安全工作负主体责任，机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人；要求银行保险机构指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门，承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展风险监测、预警及处置等职责。

　　《办法》要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。

　　金融监管总局有关司局负责人介绍，在数据分类方面，《办法》对机构业务及经营管理过程中获取、产生的数据进行分类管理，具体类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。在数据分级方面，银行保险机构应根据数据的重要性和敏感程度，将数据分为核心数据、重要数据、一般数据，其中一般数据细分为敏感数据和其他一般数据；当数据的业务属性、重要程度和可能造成的危害程度发生变化，导致安全级别不再适用的，及时进行动态调整。

　　此外，《办法》将数据安全风险纳入全面风险管理体系，要求银行保险机构明确管理流程，主动评估风险，对数据安全风险进行有效监测，防止数据破坏、泄露、非法利用等安全事件发生；风险管理、内控合规和审计部门定期对数据安全开展审计、监督检查与评价。

　　针对个人信息保护，《办法》单独设置相关章节，体现保护消费者信息和权益的政策导向。

　　具体来看，《办法》规定，银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施，并限于实现金融业务处理目的的最小范围，不得过度收集个人信息；发生或者可能发生个人信息泄露、篡改、丢失的，银行保险机构应当立即采取补救措施，并向监管部门报告等。